安全控制 v3:日志记录和威胁检测

日志记录和威胁检测涵盖了用于检测 Azure 上的威胁以及启用、收集和存储 Azure 服务的审核日志的控件,包括使用控件启用检测、调查和修正过程,以利用 Azure 服务中的本机威胁检测生成高质量的警报;它还包括使用 Azure Monitor 收集日志,使用 Azure Sentinel 集中进行安全分析、时间同步和日志保留。

LT-1:启用威胁检测功能

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

安全原则:若要支持威胁检测方案,请监视所有已知资源类型的已知和预期的威胁和异常。 配置警报筛选和分析规则以从日志数据、代理或其他数据源中提取高质量警报,从而减少误报。

Azure 指导:将 Microsoft Defender for Cloud 中 Azure Defender 服务的威胁检测功能用于相应的 Azure 服务。

对于 Azure Defender 服务中未包含的威胁检测,请参阅相应服务的 Azure 安全基准服务基线,以便在服务中启用威胁检测或安全警报功能。 将警报提取到 Azure Monitor 或 Azure Sentinel 中以构建分析规则,从而在环境中搜寻符合特定条件的威胁。

对于包括控制或监视工业控制系统 (ICS) 或监督控制与数据采集 (SCADA) 资源的计算机的操作技术 (OT) 环境,请使用 Defender for IoT 来清点资产并检测威胁和漏洞。

对于不具备原生威胁检测功能的服务,请考虑收集数据平面日志并通过 Azure Sentinel 分析威胁。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-2:为标识和访问管理启用威胁检测

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.11 AU-3、AU-6、AU-12、SI-4 10.6、10.8、A3.5

安全原则:通过监视用户和应用程序登录和访问异常来检测标识和访问管理威胁。 应针对失败的登录尝试次数过多和使用了订阅中的已弃用帐户等行为模式发出警报。

Azure 指导:Azure AD 提供以下日志,可在 Azure AD 报告中进行查看,也可将这些日志与 Azure Monitor、Azure Sentinel 或其他 SIEM/监视工具集成,以用于更复杂的监视和分析用例:

  • 登录:登录报告提供有关托管应用程序的使用情况和用户登录活动的信息。
  • 审核日志:通过日志为 Azure AD 中的各种功能所做的所有更改提供可跟踪性。 审核日志的示例包括对 Azure AD 中的任何资源(例如添加或删除用户、应用、组、角色和策略)所做的更改。
  • 风险登录:风险登录指示可能由非用户帐户合法所有者进行的登录尝试。
  • 已标记为存在风险的用户:风险用户指示可能已泄密的用户帐户。

Azure AD 还提供了一个标识保护模块,用于检测和修正与用户帐户和登录行为相关的风险。 示例风险包括泄露的凭据、从匿名或恶意软件链接的 IP 地址登录、密码喷射。 结合使用 Azure AD 标识保护中的策略和 Azure 条件访问,可对用户帐户强制实施基于风险的 MFA 身份验证。

此外,可以将 Microsoft Defender for Cloud 配置为在使用了订阅中的已弃用帐户和出现可疑活动(例如失败的身份验证尝试次数过多)时发出警报。 除了基本的安全卫生监视,Microsoft Defender for Cloud 的威胁防护模块还可从各个 Azure 计算资源(例如虚拟机、容器、应用服务)、数据资源(例如 SQL DB 和存储)和 Azure 服务层收集更深入的安全警报。 通过此功能可查看单个资源中的帐户异常情况。

注意:如果要连接本地 Active Directory 以实现同步,请借助 Microsoft Defender for Identity 解决方案,使用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、身份盗用和恶意内部操作。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-3:启用日志记录以进行安全调查

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2、8.5、8.12 AU-3、AU-6、AU-12、SI-4 10.1、10.2、10.3

安全原则:为云资源启用日志记录,以满足安全事件调查以及安全响应与合规性的要求。

Azure 指导:为不同层的资源(例如 Azure 资源日志、VM 中的操作系统和应用程序的日志以及其他日志类型)启用日志记录功能。

请注意,在管理/控制平面和数据平面层上的安全、审核和其他操作日志等不同类型的日志。 Azure 平台提供三种类型的日志:

  • Azure 资源日志:记录在 Azure 资源(数据平面)内执行的操作。 例如,从密钥保管库获取密钥或向数据库发出请求。 资源日志的内容因 Azure 服务和资源类型而异。
  • Azure 活动日志:记录外部(管理平面)中订阅层每个 Azure 资源的操作。 可以使用活动日志来确定对订阅中的资源进行的任何写入操作(PUT、POST、DELETE)的内容、对象和时间。 每个 Azure 订阅都有一个活动日志。
  • Azure Active Directory 日志:记录特定租户登录活动的历史记录和 Azure Active Directory 中所做更改的审核线索。

还可以使用 Microsoft Defender for Cloud 和 Azure Policy 在 Azure 资源上启用资源日志和日志数据收集。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-4:启用网络日志记录以进行安全调查

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.2、8.5、8.6、8.7、13.6 AU-3、AU-6、AU-12、SI-4 10.8

安全原则:为网络服务启用日志记录,以支持与网络相关的事件调查、威胁搜寻和安全警报生成。 网络日志可能包括来自网络服务的日志,例如 IP 筛选、网络和应用程序防火墙、DNS、流量监视等。

Azure 指导:启用并收集网络安全组 (NSG) 资源日志、NSG 流日志、Azure 防火墙日志和 Web 应用程序防火墙 (WAF) 日志以进行安全分析,从而支持事件调查和安全警报生成。 可将流日志发送到 Azure Monitor Log Analytics 工作区,然后使用流量分析提供见解。

收集 DNS 查询日志以帮助关联其他网络数据。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-5:集中管理和分析安全日志

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.9、8.11、13.1 AU-3、AU-6、AU-12、SI-4 空值

安全原则:集中记录存储和分析,以实现跨日志数据的关联。 对于每个日志源,请确保已分配数据所有者、访问指南、存储位置、用于处理和访问数据的工具以及数据保留要求。

Azure 指导:确保将 Azure 活动日志集成到集中式 Log Analytics 工作区。 使用 Azure Monitor 查询和执行分析,并使用从 Azure 服务、终结点设备、网络资源和其他安全系统聚合的日志创建预警规则。

此外,启用 Azure Sentinel 并将数据载入到其中,它提供安全信息事件管理 (SIEM) 和安全业务流程自动响应 (SOAR) 功能。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-6:配置日志存储保留期

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.3、8.10 AU-11 10.5、10.7

安全原则:根据合规性、法规和业务要求规划日志保留策略。 在各个日志记录服务中配置日志保留策略,以确保对日志进行正确存档。

Azure 指导:Azure 活动日志事件等日志将在保留 90 天后删除。 你应按需创建诊断设置并将日志条目路由到另一个位置(例如 Azure Monitor Log Analytics 工作区、事件中心或 Azure 存储)。 此策略也适用于其他资源日志和由用户管理的资源,例如 VM 内部的操作系统和应用程序中的日志。

日志保留选项如下所示:

  • 使用 Azure Monitor Log Analytics 工作区的日志保留期最长为 1 年或基于响应团队的要求。
  • 使用 Azure 存储、数据资源管理器或 Data Lake 进行超过 1 年的长期和存档存储,并满足安全合规性要求。
  • 使用 Azure 事件中心将日志转发到 Azure 外部。

注意:Azure Sentinel 使用 Log Analytics 工作区作为其日志存储的后端。 如果打算将 SIEM 日志保留更长时间,则应考虑长期存储策略。

实现和其他上下文:

客户安全利益干系人(了解详细信息

LT-7:使用批准的时间同步源

CIS Controls v8 ID NIST SP 800-53 r4 ID PCI-DSS ID v3.2.1
8.4 AU-8 10.4

安全原则:为日志记录时间戳使用已获批准的时间同步源,其中包括日期、时间和时区信息。

Azure 指导:Microsoft 会维护大多数 Azure PaaS 和 SaaS 服务的时间源。 对于计算资源操作系统,除非有特定要求,否则请使用 Microsoft 默认的 NTP 服务器进行时间同步。 如果需要建立自己的网络时间协议 (NTP) 服务器,请务必保护 UDP 服务端口 123 的安全。

Azure 中资源生成的所有日志都提供了时间戳,且默认指定时区。

实现和其他上下文:

客户安全利益干系人(了解详细信息